Un grupo de hacking patrocinado por el gobierno de China habría logrado copiar y utilizar un exploit día cero para sistemas Windows desarrollado originalmente por Equation Group, un equipo especializado al interior de la Agencia de Seguridad Nacional (NSA). Equation Group es uno de los esfuerzos de hacking más sofisticados del mundo, afirman especialistas en ciberseguridad.
Equation Group ha estado activo desde inicios del siglo XXI, y ha sido vinculado a muchos de los más importantes incidentes de hacking auspiciado por gobiernos. En 2017, el grupo de hacking Shadow Brokers filtró algunas de las más avanzadas herramientas utilizadas por Equation Group, muchas de las cuales han sido utilizadas para la explotación de peligrosas fallas en Windows y otros sistemas operativos, forzando a los desarrolladores a lanzar actualizaciones de emergencia.
Ejemplo de ello es el lanzamiento de un parche para CVE-2017-0005, una falla día cero en Windows XP explotada con una herramienta llamada Jian, lo que habría puesto en riesgo el sistema completo. Aunque al inicio se creía que este exploit habría sido desarrollado por un grupo de hacking conocido como Zirconium, expertos demostraron que se trataba de una herramienta clonada de un desarrollo de Equation Group empleado múltiples veces por la NSA.
La herramienta copiada por los hackers maliciosos es EpMe, creación de Equation Group para realizar ataques de escalada de privilegios en sistemas Windows: “Después de una primera etapa de ataque, los hackers usan Jian o EpMe para obtener privilegios de administrador en dispositivos vulnerables, controlando por completo los dispositivos de la víctima”, mencionan los expertos.
Si bien no hay una sola teoría para explicar la forma en que los grupos de hacking chinos accedieron a las herramientas desarrolladas por Equation Group, muchos expertos concuerdan en que esto podría haber ocurrido durante una campaña de la NSA en contra de organizaciones asiáticas adversarias o bien a partir de avanzadas campañas de monitoreo.
Los expertos agregaron que uno de los módulos de Jian cuenta con cuatro exploits de escalada de privilegios aparentemente copiados del marco de post-explotación SanderSpritz, también desarrollado por Equation Group.
Esta no es la primera vez que se descubre un grupo de hacking chino utilizando herramientas robadas de Equation Group. En 2019 se reportó que el grupo de hackers conocido como Buckeye mantuvo avanzadas campañas maliciosas utilizando exploits desarrollados por la NSA, extendiendo sus ataques desde 2016 hasta 2018, lo que demuestra que incluso las agencias de inteligencia del gobierno de E.U. pueden convertirse en objetivo de los cibercriminales más peligrosos del mundo. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
